Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法

最新推荐文章于 2024-03-14 11:32:14 发布
最新推荐文章于 2024-03-14 11:32:14 发布
阅读量1.7w 收藏 14
点赞数 1
分类专栏: android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kc58236582/article/details/50537782
版权

一、案例

我们举个案例,比如recovery升级中,碰到这个的log

01-01 08:03:22.410000   217   217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recovery:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

说明install_revovery没有block_device的权限。


而在原生的domain.te文件中,明确domain中是没有对block_device的读写权限,除了recovery vold等。

neverallow { domain -kernel -init -recovery -vold -uncrypt -emsd -rild -radio_config} block_device:blk_file { open read write };


二、方法1(后续cts测试会有问题)

那我们如何是好呢,可以在上面这句nevera中把install_recovery也减去,然后再install_recovery.te中再加入相应的allow,这个时候编译就不会报错了。

但是这个方法,后续会在cts测试的时候过不了。


因此我们不能采取这种方法。


三、方法2


所以我们得想别的方法,我们发现在domain.te中同样有下面这么一句,是可以允许install_recovery去写recover_block_device的权限。

./domain.te:354:neverallow { domain -install_recovery -recovery } recovery_block_device:blk_file write;


于是我们再去查block_device 和 recover_block_device

type recovery_block_device, dev_type;
type block_device, dev_type;

这两个的类型一致。

但我们再看file_contexts,看下文件安全上下文

/dev/block(/.*)?	u:object_r:block_device:s0

定义的dev/block下面的文件都是block_device,而recover_block_device是没有定义的。那我们也能不能定义我们要操作的文件为recover_block_device类型。

答案肯定是可以的。

/dev/block(/.*)?	u:object_r:block_device:s0
/dev/block/dm-[0-9]+	u:object_r:dm_device:s0
/dev/block/loop[0-9]*	u:object_r:loop_device:s0
/dev/block/vold/.+	u:object_r:vold_device:s0
/dev/block/ram[0-9]*	u:object_r:ram_device:s0

我们也可以自己定义自己的文件为recover_block_device类型,感觉这是android给大家预留的。

具体实现就不说了,因为具体要操作什么文件不是太清楚,这只是一个log而已。


最后我们只要在install_recovery.te中加入下面权限就可以了。

allow install_recovery recover_block_device:blk_file { open read write };

这样install_recovery就有了目标文件的open read write权限了。




kc专栏
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
Android 12 进程native crash流程分析
pecuyu
09-04 2590
Android中,crash大致可以做如下分类:本篇主要是看 Native crash 抓log流程。实现机制主要是基于信号机制和ptrace机制,如下:流程大致如下图所示: 接下来,从 linker 的入口_start开始看起。如何分析入口可见参考。 __linker_init __linker_init_post_relocation linker的一些初始化,主要看linker_main函数 linker_main linker_debuggerd_init debuggerd_init d
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 119
翻译是不允许除coredomain之外的域访问除vendor_file_typevendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_typevendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
android源码编译笔记--踩坑
Viewz的博客
03-05 1万+
错误:ninja: build stopped: subcommand failed. 解决: 打开prebuilts/sdk/tools/jack-admin 找到JACK_SERVER_COMMAND="java -XX:MaxJavaStackTraceDepth=-1 -Djava.io.tmpdir=$TMPDIR $JACK_SERVER_VM_ARGUMENTS -cp $LAUNCHER_JAR $LAUNCHER_NAME" 修改为JACK_SERVER_COMMAN...
selinux常见neverallow项解决方法与常用命令
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
SELINUX
yangzex的专栏
11-20 620
也就是说,目前android 只定义了一个user u,一个role r,file system 使用object_r,user u 只有一个role r,mls 的low_level 是s0,high level 是s0:c0.c1023。在后续的版本更新中,Google 导入了大批量的限制性 neverallow 语法,特别是从O 版本开始针对System/Vendor 的分离,进行了大量针对性的限制,具体可以参考Google 在/system/sepolicy 中所设定的neverallow 语句。
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 1215
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android P SELinux权限获取
arrol1786936883的博客
04-26 2038
Android SELinux权限问题
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 950
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android SELinux 快速处理工具 log2allow
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 ./log2allow xxx.log 或将log2allow配置到环境变量 log2allow xxx.log 输出如下: allow XXXXXService_default XXXXXService:binder call; allow ...
selinux权限修改.pdf
03-26
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能...
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 5980
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
Android-SEAndroid权限
qq_34888036的博客
08-29 1382
前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在SELinux出现之前,Linux的安全模型是DAC(DiscretionaryAccess Control),
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4656
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
Android系统Framework定制默认值预置修改
你只是看起很努力
09-24 9382
1. 配置SELinux权限SELinux(或SEAndroid)主要将app划分为三种类型(根据user不同,也有其他的domain类型):1)untrusted_app 第三方app,没有android平台签名,没有system权限 2)platform_app 有android平台签名,没有system权限 3)system_app 有android平台签名和system权...
SEAndroid问题解决
Invoker123的博客
09-29 1989
Android从4.4版本引入SEAndroid,SEAndroid是一套基于SELinux做的系统安全机制。SEAndroid有三种模式:Enforcing,Permissive,Disabled。Enforcing状态下,所有违反SEAndroid策略的操作都会被禁止执行并显示警告信息,Permissive状态下所有违反SEAndroid策略的操作不会被禁止执行,但会显示警告信息,Disabl
快速解决Android中的selinux权限问题
热门推荐
Android开发
04-01 4万+
关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937 在Android开发的过程中,遇到关于selinux相关的东西,当时还一下子看不懂,现在好像有点眉目了。 比如,内核打印这个提示 type=1400 audit(32.939:25): avc: denied { open } for pid=2...
Android selinux 权限的作用?
最新发布
03-20
1. 强制访问控制:SELinux通过为每个进程和文件分配安全上下文,限制了进程和文件之间的访问权限。这样可以防止应用程序越权访问其他应用程序或系统资源。 2. 提高应用程序安全性:SELinux可以限制应用程序的权限,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值